こんにちは、 ネクストモード株式会社 の sobar です。今回はCrowdStrikeのアラート検知時の対応についてまとめましたのでご紹介します。※本内容はあくまでも対応の一例となりますので、最終的な対応、運用方針はそれぞれの社内で定められている運用ルールに従っていただければと思います。
本記事は、Prevent&Insight ライセンスがある前提での記載となっております。ライセンスにつきましては必要に応じて弊社までお問い合わせください。
アラート検知時の対応概要(例)について以下に示します。
以下よりそれぞれの対応について確認していきます。
エンドポイント検知があがりましたらまずは エンドポイントセキュリティ > エンドポイント検知 より対象のアラートを確認をします。(※予めメール通知や、Slack通知等の設定を行っておくことをお勧めいたします。)
※アラート確認については以下をご参照ください。
①の確認内容を元に正検知か、過検知かを決定します。
正検知の場合 ⇒ ③-1. 調査・対処 を実施
①②の検知内容より、隔離すべきと判断した場合は該当検知の詳細画面上段のネットワーク隔離を実施します。
※対処完了後にはネットワーク隔離の解除を実施します。
※ネットワーク隔離を実施すると、CrowdStrike(テナント)との通信以外の通常のインターネットは遮断されますので実施前に必要な確認を実施ください。
※エンドポイント検知の重大度=重大 のものは一律、一度ネットワーク隔離を実施し、確認・対処等を行ったうえで問題無いと判断後に隔離解除するような運用も良いかと思いますので一度ご検討ください。
ホストへの接続を試行し対処を行っています。
※対処すべき内容はプロセス・コマンドを確認した状況によって変わります。以下に一例を示します。
| 状況(検知内容) | 対処内容(RTR等の操作例) |
| 攻撃用ツールのダウンロード | ツールのアンインストール・除去を実施(※ポリシー設定により自動隔離される場合もある) |
| ファイルやレジストリの書き換えコマンド実行 | 実行されたコマンド内容を特定し、修復するためのコマンドを実行 |
| 不審な永続化設定(自動起動) | タスクスケジューラやレジストリのRunキーを確認し、身に覚えのない登録を削除 |
| 不審な外部IPとの通信 | netstat 等でコネクションを確認し、該当プロセスを強制終了(kill)した上でバイナリを調査・隔離 |
| ブラウザ拡張機能の不審な挙動 | 導入されている拡張機能一覧を確認し、悪意のあるものや不要なものを削除 |
| シャドウコピーの削除(ランサムウェア兆候) | vssadmin 等で削除状況を確認し、被害拡大防止と並行してバックアップからの復旧準備実施 |
| 不審なサービスの登録・実行 | サービス一覧から異常なパスで動くものを特定し、停止(Stop)およびスタートアップの「無効化」を実施 |
| アカウント乗っ取りの疑い | 不審なユーザーセッションを強制ログアウト(切断)させ、パスワードリセット等の認証基盤側の対策と連携 |
| Webシェル(バックドア)の設置 | Web公開ディレクトリ内の不審なファイルを削除し、アクセスログから侵入経路を特定 |
SSE(Netskope等)やネットワーク機器の設定によっては通信内容としてブロック、検知できる場合があるため改めてセキュリティポリシーの適用状況を確認・設定ください。
IOC、IOAそれぞれ以下を参考に登録設定します。
対処・対応が完了した際はステータスの更新をしておくと、後から状況確認した時に状況把握しやすいといった点を含め視認性が良いためお勧めいたします。
該当する検知詳細メニューより アクション > Edit status を選択。
ステータスを更新(対応完了の場合はClosedを選択)し、その他必要に応じて設定しステータスの更新を実施します。
※マークについて
トゥルーポジティブ:正検知
フォールスポジティブ:過検知
アラート検知時の対応についてご紹介しました。繰り返しとなりますが、本内容はあくまでも対応の一例となりますので、最終的な対応、運用方針はそれぞれの社内で定められている運用ルールに従っていただければと思います。
この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike運用の一助となれば幸いです。
ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています。ご興味のある方は、ぜひお気軽にご相談ください!